摘要:給定一個作為方法參數(shù)傳遞的域?qū)ο髮?shí)例��,確保類要綁定合適的權(quán)限�����。對或或檢查與驗(yàn)證��。檢查是否在客戶端的權(quán)限范圍內(nèi)�����。匹配默認(rèn)的前綴字符串是的���,如果匹配到則授權(quán),如授權(quán)范圍���。實(shí)現(xiàn)類輪詢所有配置的每個配置���,并且如果全部是肯定才能授予訪問權(quán)限。
03.01-源碼-Spring Security Oauth2
@(技術(shù)-架構(gòu))[源碼, 權(quán)限, Security, Oauth2]
Oauth2 是一個開放標(biāo)準(zhǔn)�,允許用戶讓第三方應(yīng)用訪問該用戶在某一網(wǎng)站上存儲的私密的資源(如照片,視頻���,聯(lián)系人列表)�����,而無需將用戶名和密碼提供給第三方應(yīng)用��。Spring-Security-Oauth2是基于Spring-Security安全框架實(shí)現(xiàn)Oauth2的標(biāo)準(zhǔn)授權(quán)驗(yàn)證�,以下是對Spring-Security-Oauth2的源代碼分析�����。
1����、相關(guān)包說明
Spring-Security-Core:封裝了驗(yàn)收、授權(quán)流程核心基礎(chǔ)類��。
Spring-Security-Web:是基于HTTP實(shí)現(xiàn)對安全驗(yàn)證的封裝��。
Spring-Security-Config:實(shí)現(xiàn)了Spring Security命名空間的配置�����。
Spring-Security-Oauth2:通過Spring Security框架����,實(shí)現(xiàn)Oauth2標(biāo)準(zhǔn)驗(yàn)證流程�����。
2�����、Spring-Security-Core 分析
① 分層說明
org.springframework.security.access
權(quán)限訪問處理層�,包含了訪問權(quán)限annotation的配置注解����,訪問驗(yàn)證的事event,訪問權(quán)限配置的表達(dá)式解析expression�����,對訪問權(quán)限的方法攔截器intercept�����,權(quán)限方法注解的實(shí)現(xiàn)method��,驗(yàn)證的post過程prepost,還有核心的授權(quán)方法與管理vote�。
核心類訪問決策器AccessDecisionVoter
AbstractAclVoter:提供編寫域?qū)ο驛CL選項的幫助方法,沒有綁定到任何特定的ACL系統(tǒng)�����。
AclEntryVoter:給定一個作為方法參數(shù)傳遞的域?qū)ο髮?shí)例��,確保類要綁定合適的權(quán)限AclService���。
AuthenticatedVoter:對 IS_AUTHENTICATED_FULLY或IS_AUTHENTICATED_REMEMBERED或 IS_AUTHENTICATED_ANONYMOUSLY檢查與驗(yàn)證���。
ClientScopeVoter:[Oauth2] 檢查是否在客戶端的權(quán)限范圍內(nèi)��。
Jsr250Voter:通過JSR-250配置的注解進(jìn)行授權(quán)�����。
PreInvocationAuthorizationAdviceVoter:使用@PreFilter和@PreAuthorize注釋生成的PreInvocationAuthorizationAdvice來授權(quán)
RoleVoter:匹配默認(rèn)的前綴字符串是ROLE_的ConfigAttribute��,如果匹配到則授權(quán)��,針對角色的授權(quán)����。
RoleHierarchyVoter:擴(kuò)展RoleVoter使用RoleHierarchy定義來確定在授權(quán)給當(dāng)前用戶的角色��。
ScopeVoter:匹配默認(rèn)的前綴字符串是SCOPE_的ConfigAttribute����,如果匹配到則授權(quán)�,如:授權(quán)范圍SCOPE_READ、SCOPE_WRITE�。
int ACCESS_GRANTED = 1; //決策結(jié)果-允許
int ACCESS_ABSTAIN = 0; //決策結(jié)果-放棄
int ACCESS_DENIED = -1; //決策結(jié)果-拒絕
//決策方法
int vote(Authentication authentication, S object, Collection attributes);
核心類訪問控制決策管理AccessDecisionManager
AffirmativeBased實(shí)現(xiàn)類輪詢所有配置 AccessDecisionVoter的,并且如果有的話AccessDecisionVoter肯定地授予訪問權(quán)限����。
ConsensusBased實(shí)現(xiàn)類輪詢所有配置 AccessDecisionVoter的,并且如果AccessDecisionVoter肯定大于否定的數(shù)量的話就授予訪問權(quán)限���,相等的話就看AbstractAccessDecisionManager.isAllowIfAllAbstainDecisions()方法(默認(rèn)為false)��。
UnanimousBased實(shí)現(xiàn)類輪詢所有配置AccessDecisionVoter的每個配置�,并且如果AccessDecisionVoter全部是肯定才能授予訪問權(quán)限��。
//決策方法���,如果決策不通過就拋出異常
void decide(Authentication authentication, Object object,Collection configAttributes) throws AccessDeniedException,InsufficientAuthenticationException;
org.springframework.security.authentication
權(quán)限認(rèn)證處理層��,實(shí)現(xiàn)了對權(quán)限的管理和認(rèn)證��,dao封裝了用戶信息的訪問�����,encoding封裝了對用戶密碼加密的處理�����,event實(shí)現(xiàn)對授權(quán)驗(yàn)證的成功�、失敗等事件,jaas是對Java Jaas授權(quán)API的封裝��,rcp提供了遠(yuǎn)程授權(quán)驗(yàn)證與管理�����。
文章版權(quán)歸作者所有�����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/68573.html
